Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.08.2010, 17:09   #1
eichmeister
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Unglücklich

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Hallo zusammen,

ich bräuchte bitte eure Hilfe. Habe mir gestern die drei Viren RKIT/agent.biiu, TR/agent.ruo und TR/Crypt.Gen eingefangen.
In meiner ersten Panik habe ich mein Antimaleware (nicht aktualisiert ) und den CC-Cleaner drüberlaufen lassen.

Hier der Paniklogfile von Maleware

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3950

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26.08.2010 10:45:02
mbam-log-2010-08-26 (10-45-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 100338
Laufzeit: 5 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\sunshine\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

------------------------------

Da waren es nur noch zwei. TR/agent.ruo war dann verschwunden nur die beiden anderen Kandidaten sind noch hartnäckig.
Also Antimaleware aktualisiert und OTL runtergelanden, wie man ja überall lesen kann.

Hier die drei neuen Logfiles

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

27.08.2010 16:18:43
mbam-log-2010-08-27 (16-18-43).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 111771
Laufzeit: 39 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 27.08.2010 16:26:59 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 596,00 Mb Available Physical Memory | 59,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 86,45 Gb Total Space | 54,28 Gb Free Space | 62,79% Space Free | Partition Type: NTFS
Drive D: | 5,69 Gb Total Space | 0,72 Gb Free Space | 12,73% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Opera\opera.exe (Opera Software)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - C:\Programme\OpenOffice.org 2.0\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 2.0\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\HPQ\Shared\HpqToaster.exe ()
PRC - C:\Programme\HPQ\Quick Launch Buttons\eabservr.exe (Hewlett-Packard )
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
PRC - C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe (Hewlett-Packard Development Company, L.P.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (Changer) -- C:\WINDOWS\System32\drivers\Changer.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (w39n51) Intel(R) -- C:\WINDOWS\system32\drivers\w39n51.sys (Intel® Corporation)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\CHDAud.sys (Conexant Systems Inc.)
DRV - (iaStor) -- C:\WINDOWS\System32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments)
DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (eabfiltr) -- C:\WINDOWS\system32\drivers\eabfiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (eabusb) -- C:\WINDOWS\system32\drivers\eabusb.sys (Hewlett-Packard Development Company, L.P.)
DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\brscnusb.sys (Brother Industries Ltd.)
DRV - (SMCIRDA) -- C:\WINDOWS\system32\drivers\smcirda.sys (SMC)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2004.08.04 10:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\Cpqset.exe ()
O4 - HKLM..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe (Hewlett-Packard )
O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] C:\WINDOWS\System32\CHDAudPropShortcut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKLM..\Run: [RecGuard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe (Hewlett-Packard Development Company, L.P.)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\updqnc32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-4201190028-1417150473-2172317449-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (QuickTime Object)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1270725624962 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\sunshine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2001.07.27 14:07:38 | 000,000,000 | -HS- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004.04.30 06:01:14 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.27 16:32:04 | 000,045,568 | R-S- | C] (hvpmg) -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\syscron.exe
[2010.08.27 16:20:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\sunshine\Eigene Dateien\Virusbeseitigung
[2010.08.27 15:34:39 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL.exe
[2010.08.26 13:12:51 | 000,142,592 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aec.sys
[2010.08.26 10:36:00 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\sunshine\Recent
[2010.08.26 10:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.08.26 10:26:23 | 000,008,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\i2omgmt.sys
[2010.08.26 10:25:57 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\Changer.sys
[2010.08.26 10:25:57 | 000,008,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\changer.sys
[2010.08.12 11:45:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
[2010.08.12 11:38:38 | 000,111,928 | ---- | C] (Brother Industries Ltd) -- C:\WINDOWS\System32\BRRBTOOL.EXE
[2010.08.12 11:38:38 | 000,077,824 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\brlmw03a.dll
[2010.08.12 11:38:38 | 000,024,223 | ---- | C] (Brother Industries, Ltd) -- C:\WINDOWS\System32\brlm03a.dll
[2010.08.12 11:38:37 | 000,176,128 | ---- | C] (Brother Industries, Ltd.) -- C:\WINDOWS\System32\BROSNMP.DLL
[2010.08.12 11:38:37 | 000,000,000 | ---D | C] -- C:\Programme\Brownie
[2010.08.12 11:37:39 | 000,192,512 | ---- | C] (brother) -- C:\WINDOWS\System32\Pdrvinst.dll
[2010.08.12 11:37:39 | 000,000,000 | ---D | C] -- C:\Programme\Brother
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.27 16:41:53 | 000,585,504 | ---- | M] () -- C:\WINDOWS\System32\drivers\axunuav.sys
[2010.08.27 16:31:52 | 000,045,568 | R-S- | M] (hvpmg) -- C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\syscron.exe
[2010.08.27 16:31:09 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.08.27 15:34:48 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Eigene Dateien\OTL.exe
[2010.08.27 15:31:54 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.27 15:31:34 | 000,001,680 | -HS- | M] () -- C:\hpqp.ini
[2010.08.27 15:31:31 | 000,000,040 | ---- | M] () -- C:\XP_TV.ini
[2010.08.27 15:31:26 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.08.27 15:31:14 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.27 15:31:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.27 15:31:11 | 1063,374,848 | -HS- | M] () -- C:\hiberfil.sys
[2010.08.27 15:10:26 | 004,718,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.08.27 15:10:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.08.26 13:12:45 | 000,000,110 | ---- | M] () -- C:\WINDOWS\System32\fjhdyfhsn.bat
[2010.08.26 11:45:39 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.08.26 10:37:39 | 000,001,798 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100826_103722.reg
[2010.08.26 10:25:29 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\jglzyr.dat
[2010.08.24 20:11:58 | 000,000,232 | ---- | M] () -- C:\WINDOWS\Brownie.ini
[2010.08.15 19:40:28 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk
[2010.08.12 11:38:47 | 000,009,030 | ---- | M] () -- C:\WINDOWS\HL-2030.INI
[2010.08.12 11:38:47 | 000,000,141 | ---- | M] () -- C:\WINDOWS\BRVIDEO.INI
[2010.08.12 11:38:47 | 000,000,000 | ---- | M] () -- C:\WINDOWS\brmx2001.ini
[2010.08.12 11:38:22 | 000,000,416 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2010.08.12 11:38:22 | 000,000,054 | ---- | M] () -- C:\WINDOWS\System32\bd2030.dat
[2010.08.11 20:06:07 | 000,210,488 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.26 13:16:20 | 000,585,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\axunuav.sys
[2010.08.26 13:12:40 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\jglzyr.dat
[2010.08.26 10:37:26 | 000,001,798 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\cc_20100826_103722.reg
[2010.08.26 10:25:32 | 000,000,110 | ---- | C] () -- C:\WINDOWS\System32\fjhdyfhsn.bat
[2010.08.26 10:25:29 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\***Anwendungsdaten\jglzyr.dat
[2010.08.12 11:38:47 | 000,000,141 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI
[2010.08.12 11:38:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2010.08.12 11:38:38 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\brlmw03a.ini
[2010.08.12 11:38:37 | 000,009,030 | ---- | C] () -- C:\WINDOWS\HL-2030.INI
[2010.08.12 11:37:40 | 000,000,054 | ---- | C] () -- C:\WINDOWS\System32\bd2030.dat
[2010.08.12 11:36:54 | 000,000,232 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2010.03.11 20:56:02 | 000,000,416 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2010.03.11 20:56:02 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2009.12.13 12:29:22 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2007.08.22 21:59:22 | 000,000,116 | ---- | C] () -- C:\WINDOWS\homeDVD-Fotos4_5_dlx.INI
[2007.08.22 21:56:24 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2007.08.22 21:49:10 | 000,000,085 | ---- | C] () -- C:\WINDOWS\magix.ini
[2007.08.22 21:49:07 | 000,001,208 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2006.08.12 12:08:15 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2006.06.21 18:32:40 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2006.05.01 18:19:57 | 000,041,472 | ---- | C] () -- C:\Dokumente und Einstellungen\***okale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2006.04.25 19:04:32 | 000,002,632 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\wklnhst.dat
[2006.04.25 18:52:52 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.02.27 01:35:27 | 000,000,059 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2006.02.27 01:27:05 | 000,030,064 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2006.02.27 01:20:55 | 000,000,373 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2005.12.02 12:09:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2004.08.07 07:32:26 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2004.08.07 07:25:50 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2004.01.13 21:46:34 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\tifmicon.dll
< End of report >
         
--- --- ---

-----------------------------------------OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 27.08.2010 16:26:59 - Run 1
OTL by OldTimer - Version 3.2.10.0 Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 596,00 Mb Available Physical Memory | 59,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 86,45 Gb Total Space | 54,28 Gb Free Space | 62,79% Space Free | Partition Type: NTFS
Drive D: | 5,69 Gb Total Space | 0,72 Gb Free Space | 12,73% Space Free | Partition Type: FAT32
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
https [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL Germany -- File not found
"E:\D-Link.exe" = E:\D-Link.exe:*:Enabled:Setup Wizard Template -- File not found
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00BA866C-F2A2-4BB9-A308-3DFA695B6F7C}" = Java DB 10.5.3.0
"{075473F5-846A-448B-BCB3-104AA1760205}" = Sonic Data Module
"{0814717D-CD3F-48B7-82F0-3ADFBC9F5B12}" = Brother HL-2035
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1CB34CE9-0E6B-493F-BB66-3425E5DF76E5}" = CP_CalendarTemplates1
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21657574-BD54-48A2-9450-EB03B2C7FC29}" = Sonic MyDVD Plus
"{21E90952-11F1-4473-9D6C-2EE09BCB10C3}" = OpenOffice.org 2.0
"{23012310-3E05-46A5-88A9-C6CBCABCAC79}" = Optimierung aufgrund von Kundenerfahrungen
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{23B35809-5E4A-4F14-8332-1CDEDDFAC089}" = CP_Package_Variety2
"{24BEBF2E-73F3-4599-840B-EDC612CCDD0D}" = Destinations
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 20
"{2A548002-9042-4083-A270-B67473DE1073}" = SkinsHP1
"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Sonic Update Manager
"{32A3A4F4-B792-11D6-A78A-00B0D0160190}" = Java(TM) SE Development Kit 6 Update 19
"{34F3FCF1-817B-4D61-B6AF-19D9486AFEA0}" = Unload
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36D620AD-EEBA-4973-BA86-0C9AE6396620}" = OptionalContentQFolder
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{3FE0CFAB-584A-4AA5-B8CD-C32284CFA308}" = RandMap
"{4041C245-7099-4C96-9738-5EBC23827B3C}" = BufferChm
"{4302B2DD-D958-40E3-BAF3-B07FFE1978CE}" = HP Wireless Assistant 2.00 C1
"{45D707E9-F3C4-11D9-A373-0050BAE317E1}" = HP QuickPlay 2.0
"{494D17B5-3369-4905-8C4B-80C972C5E0FF}" = CP_Panorama1Config
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4DA4012B-39AF-48c2-B23B-A4D570D233A6}" = cp_LightScribeConfig
"{522D1D79-9C0A-4361-91F8-2AFF8EC6C2E1}" = CP_Package_Variety1
"{53EE9E42-CECB-4C92-BF76-9CA65DAF8F1C}" = FullDPAppQFolder
"{54F0998F-73C8-4b51-8286-FE903C231BED}" = cp_PosterPrintConfig
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Sonic Express Labeler
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{70858C67-8761-4444-895A-0A8B2E9E144E}" = Opera 10.61
"{766633B3-1AFA-44B6-A3FC-1DE991CD9C52}" = CP_Package_Basic1
"{79F8E1D4-36C1-439C-95FA-F695050B5B07}" = Sonic_PrimoSDK
"{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A}" = TIPCI
"{7F2F3F8B-2D57-48A3-99D0-1AC23D594C89}" = LightScribe 1.4.56.1
"{80AE27BA-B0ED-4288-A8B9-D8194BCF4115}" = cp_UpdateProjectsConfig
"{8105684D-8CA6-440D-8F58-7E5FD67A499D}" = Einfache Internetanmeldung
"{869C3062-4745-4949-B6C9-98AF24D89030}" = PhotoGallery
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{8B7917E0-AF55-4E8A-9473-017F0AA03AC8}" = QuickTime
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9D4ABB0C-F60B-44A6-956C-A4A63D5495C9}" = CueTour
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A93C4E94-1005-489D-BEAA-B873C1AA6CFC}" = HP Help and Support
"{A987FEC8-5616-49BD-BCA6-ACFFFE7403FE}" = IKEA Home Planner
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AB708C9B-97C8-4AC9-899B-DBF226AC9382}" = Sonic Audio Module
"{B11E71BA-498C-42D4-9F1A-9D7A89D9DA61}" = CP_AtenaShokunin1Config
"{B12665F4-4E93-4AB4-B7FC-37053B524629}" = Sonic Copy Module
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B57F2FF0-5A25-4332-B503-4592B370C02F}" = CP_Package_Variety3
"{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}" = HP Software Update
"{BBD3BF67-5B89-4CBB-BA58-5818ED5F3290}" = cp_OnlineProjectsConfig
"{BC96BBA7-C634-460E-AD18-A0A994213F80}" = HP User Guides--System Recovery
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CEB326EC-8F40-47B2-BA22-BB092565D66F}" = Quick Launch Buttons 5.20 F2
"{DB518BA6-CB74-4EB6-9ABD-880B6D6E1F38}" = HpSdpAppCoreApp
"{E74E3D81-773B-4DCF-B706-50236F80BD81}" = HP User Guides 0019
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{FC8D25A7-FF1B-41BB-BB3B-9A06C0A60AE0}" = InstantShareDevices
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"CNXT_HDAUDIO" = Conexant HD Audio
"CNXT_MODEM_HDAUDIO_CPL30A5m" = HDAUDIO Soft Data Fax Modem with SmartCP
"HijackThis" = HijackThis 2.0.2
"HP Imaging Device Functions" = HP Imaging Device Functions 6.0
"HP Photo & Imaging" = HP Photosmart Premier Software 6.0
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{23012310-3E05-46A5-88A9-C6CBCABCAC79}" = Optimierung aufgrund von Kundenerfahrungen
"InstallShield_{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"InstallShield_{8105684D-8CA6-440D-8F58-7E5FD67A499D}" = Einfache Internetanmeldung
"IrfanView" = IrfanView (remove only)
"MAGIX Foto Manager" = MAGIX Foto Manager
"MAGIX Fotos auf CD & DVD 4.5 deLuxe" = MAGIX Fotos auf CD & DVD 4.5 deLuxe
"MAGIX Music Manager" = MAGIX Music Manager
"MAGIX Online Druck Service" = MAGIX Online Druck Service
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"MSNINST" = MSN
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PROSet" = Intel(R) PRO Network Connections Drivers
"SumatraPDF" = SumatraPDF
"SUPER ©" = SUPER © Version 2009.bld.36 (June 10, 2009)
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 19.06.2009 09:52:54 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 7.0.6000.16827, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 26.08.2010 04:30:35 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IR-Enumeratordienst" wurde aufgrund folgenden Fehlers 
nicht gestartet: %%2
 
Error - 26.08.2010 04:47:14 | Computer Name = *** | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AliIde PCIIde ViaIde
 
Error - 26.08.2010 07:12:57 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Kernel-Echounterdrückung" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2
 
Error - 26.08.2010 07:13:04 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "1394-ARP-Clientprotokoll" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
 
Error - 26.08.2010 07:13:10 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Asynchroner RAS -Medientreiber" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2
 
Error - 26.08.2010 07:13:19 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Protokoll für ATM ARP-Client" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2
 
Error - 26.08.2010 07:13:31 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Brother USB Still Image driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2
 
Error - 26.08.2010 07:13:33 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WIDCOMM USB Bluetooth Driver" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2
 
Error - 26.08.2010 07:16:13 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Kernel-DLS-Synthesizer" wurde aufgrund folgenden
Fehlers nicht gestartet: %%2
 
Error - 26.08.2010 07:16:22 | Computer Name = *** | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Kernel-DRM-Audioentschlüsselung" wurde aufgrund
folgenden Fehlers nicht gestartet: %%31
 
 
< End of report >
         
--- --- ---

-------------------------------------------

Heute hatte ich noch keine Meldung von Avira, kann mir bitte jemand sagen ob ich clean bin, oder ob meine Kiste noch verseucht ist.

Gruß

Eichmeister

Alt 27.08.2010, 20:38   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Zitat:
Datenbank Version: 4052
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.
__________________

__________________

Alt 28.08.2010, 20:42   #3
eichmeister
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Hallo Arne,

update gemacht und vollscan durchgeführt. Habe noch nichts entfernt, warte auf deine nächsten Anweisungen. Schon mal danke für deine schnelle Antwort.

Hier der Logfile

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4493

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

28.08.2010 21:26:48
mbam-log-2010-08-28 (21-26-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 198771
Laufzeit: 7 Stunde(n), 8 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000006.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000011.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000019.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000025.sys (Rootkit.Bubnix) -> No action taken.
C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000037.sys (Rootkit.Bubnix) -> No action taken.
C:\WINDOWS\system32\drivers\axunuav.sys (Rootkit.Bubnix) -> No action taken.
C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\syscron.exe (Trojan.Agent) -> No action taken.

Gruß Eichmeister
__________________

Alt 29.08.2010, 19:57   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O32 - AutoRun File - [2004.04.30 06:01:14 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ FAT32 ]
[2010.08.27 16:32:04 | 000,045,568 | R-S- | C] (hvpmg) -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\syscron.exe
[2010.08.27 16:41:53 | 000,585,504 | ---- | M] () -- C:\WINDOWS\System32\drivers\axunuav.sys
[2010.08.27 16:31:52 | 000,045,568 | R-S- | M] (hvpmg) -- C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\syscron.exe
[2010.08.26 13:12:45 | 000,000,110 | ---- | M] () -- C:\WINDOWS\System32\fjhdyfhsn.bat
[2010.08.26 10:25:29 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\jglzyr.dat
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.08.2010, 21:22   #5
eichmeister
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Hallo Arne,

habe kopiert, eingefügt und gefixt. Rechner wollte Neustart, mit OK bestätigt. Nach Neustart kam das untenstehende Logfile. (Ebenso tauchte sofort von Avira eine neue Meldung auf mit einem neuen Backdoor Kandidat, poste Dir den Bericht von Avira unter dem OTL Logfile

Gruß Stefan


All processes killed
========== OTL ==========
D:\Autorun.inf moved successfully.
File C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\syscron.exe not found.
File move failed. C:\WINDOWS\system32\drivers\axunuav.sys scheduled to be moved on reboot.
File C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\syscron.exe not found.
C:\WINDOWS\system32\fjhdyfhsn.bat moved successfully.
File C:\Dokumente und Einstellungen\***\Anwendungsdaten\jglzyr.dat not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 14471998 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: sunshine
->Temp folder emptied: 555569 bytes
->Temporary Internet Files folder emptied: 261362 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 2802597 bytes
->Flash cache emptied: 1829 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 426797 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 18,00 mb


OTL by OldTimer - Version 3.2.10.0 log created on 08302010_221039

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\axunuav.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...

-------------------------------------
Avira:

In der Datei 'C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\updqnc32.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.hkb' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Alt 31.08.2010, 07:37   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha

Alt 31.08.2010, 19:12   #7
eichmeister
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Hallo Arne,

hier der Logfile von ComboFix

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-08-31.01 - sunshine 31.08.2010  19:18:57.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.628 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\sunshine\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-07-28 bis 2010-08-31  ))))))))))))))))))))))))))))))
.

2010-08-31 16:51 . 2010-08-31 16:51	--------	d-----w-	c:\programme\CCleaner
2010-08-30 20:10 . 2010-08-30 20:10	--------	d-----w-	C:\_OTL
2010-08-26 11:16 . 2010-08-31 17:50	585504	----a-w-	c:\windows\system32\drivers\axunuav.sys
2010-08-26 11:12 . 2008-04-13 15:39	142592	----a-w-	c:\windows\system32\drivers\aec.sys
2010-08-26 11:12 . 2008-04-13 15:39	142592	----a-w-	c:\windows\system32\dllcache\aec.sys
2010-08-26 08:26 . 2008-04-13 17:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-08-26 08:26 . 2008-04-13 17:41	8576	----a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-08-26 08:25 . 2008-04-13 17:40	8192	----a-w-	c:\windows\system32\drivers\Changer.sys
2010-08-26 08:25 . 2008-04-13 17:40	8192	----a-w-	c:\windows\system32\dllcache\changer.sys
2010-08-21 20:02 . 2010-08-21 20:02	503808	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-17348c3b-n\msvcp71.dll
2010-08-21 20:02 . 2010-08-21 20:02	499712	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-17348c3b-n\jmc.dll
2010-08-21 20:02 . 2010-08-21 20:02	348160	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-17348c3b-n\msvcr71.dll
2010-08-21 20:01 . 2010-08-21 20:01	61440	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-152003d8-n\decora-sse.dll
2010-08-21 20:01 . 2010-08-21 20:01	12800	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-152003d8-n\decora-d3d.dll
2010-08-12 09:45 . 2010-08-12 09:45	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2010-08-12 09:38 . 2008-10-22 22:00	111928	------w-	c:\windows\system32\BRRBTOOL.EXE
2010-08-12 09:38 . 2007-01-15 22:00	24223	------w-	c:\windows\system32\brlm03a.dll
2010-08-12 09:38 . 2004-08-09 22:42	77824	------w-	c:\windows\system32\brlmw03a.dll
2010-08-12 09:38 . 2010-08-12 09:38	--------	d-----w-	c:\programme\Brownie
2010-08-12 09:38 . 2006-12-21 09:23	176128	------w-	c:\windows\system32\BROSNMP.DLL
2010-08-12 09:37 . 2010-08-12 09:38	54	----a-w-	c:\windows\system32\bd2030.dat
2010-08-12 09:37 . 2010-08-12 09:38	--------	d-----w-	c:\programme\Brother
2010-08-12 09:37 . 2008-04-02 07:39	192512	------w-	c:\windows\system32\Pdrvinst.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-31 16:25 . 2006-06-10 16:35	--------	d-----w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\OpenOffice.org2
2010-08-27 13:36 . 2010-04-02 15:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-26 11:12 . 2010-08-26 11:12	20	----a-w-	c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\jglzyr.dat
2010-08-26 08:25 . 2010-08-26 08:25	20	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\jglzyr.dat
2010-08-15 17:40 . 2010-04-17 05:41	--------	d-----w-	c:\programme\Opera
2010-08-12 09:37 . 2006-02-26 23:08	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-07-19 18:28 . 2004-08-07 05:27	63580	----a-w-	c:\windows\system32\perfc007.dat
2010-07-19 18:28 . 2004-08-07 05:27	391000	----a-w-	c:\windows\system32\perfh007.dat
2010-07-10 13:36 . 2010-07-10 13:36	--------	d-----w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\MAGIX
2010-06-30 12:28 . 2004-08-04 08:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:15 . 2004-08-04 08:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 12:15 . 2004-08-04 08:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-06-24 12:15 . 2004-08-04 08:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2004-08-04 08:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 08:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 08:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2004-08-04 08:00	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-04 08:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2006-05-03 09:06 . 2009-12-13 10:28	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-13 10:28	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-13 10:28	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-18 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2005-11-08 61952]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-11 761945]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"QPService"="c:\programme\HP\QuickPlay\QPService.exe" [2005-12-12 94208]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-07 409600]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2005-06-29 233534]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-02-15 417792]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\sunshine\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]
updqnc32.exe [2008-4-14 24064]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Photosmart Premier - Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Opera\\opera.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 18:49 108289]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 17:16 135664]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - axunuav
.
Inhalt des "geplante Tasks" Ordners

2010-08-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 15:16]

2010-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 15:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.freenet.de/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-31 19:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????????n??|?????? ???B?????????????hLC???????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\axunuav]

.
Zeit der Fertigstellung: 2010-08-31  20:01:23
ComboFix-quarantined-files.txt  2010-08-31 18:00

Vor Suchlauf: 14 Verzeichnis(se), 58.153.529.344 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 58.114.924.544 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 2E55DC0438C718D1CEFC615F95A2A02D
         
--- --- ---

Gruß Stefan

Alt 31.08.2010, 20:31   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
http://www.trojaner-board.de/90114-rkit-agent-biiu-tr-agent-ruo-tr-crypt-zpack-gen-alle-guten-dinge-sind-drei-hahahaha.html

Collect::
c:\dokumente und einstellungen\sunshine\Startmenü\Programme\Autostart\updqnc32.exe
c:\windows\system32\drivers\axunuav.sys

File::
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\jglzyr.dat
c:\dokumente und einstellungen\sunshine\Anwendungsdaten\jglzyr.dat

Filelook::
c:\windows\system32\drivers\aec.sys
c:\windows\system32\dllcache\aec.sys
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.09.2010, 22:26   #9
eichmeister
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Hallo Arne,

hier der Logfile

Gruß Stefan

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-09-01.02 - sunshine 01.09.2010  22:23:15.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.661 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\sunshine\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\sunshine\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

FILE ::
"c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\jglzyr.dat"
"c:\dokumente und einstellungen\sunshine\Anwendungsdaten\jglzyr.dat"

file zipped: c:\dokumente und einstellungen\sunshine\Startmenü\Programme\Autostart\updqnc32.exe
file zipped: c:\windows\system32\drivers\axunuav.sys
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\jglzyr.dat
c:\dokumente und einstellungen\sunshine\Anwendungsdaten\jglzyr.dat
c:\dokumente und einstellungen\sunshine\Startmenü\Programme\Autostart\updqnc32.exe
c:\windows\system32\drivers\axunuav.sys

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_axunuav
-------\Service_axunuav


(((((((((((((((((((((((   Dateien erstellt von 2010-08-01 bis 2010-09-01  ))))))))))))))))))))))))))))))
.

2010-08-31 16:51 . 2010-08-31 16:51	--------	d-----w-	c:\programme\CCleaner
2010-08-30 20:10 . 2010-08-30 20:10	--------	d-----w-	C:\_OTL
2010-08-26 11:12 . 2008-04-13 15:39	142592	----a-w-	c:\windows\system32\drivers\aec.sys
2010-08-26 11:12 . 2008-04-13 15:39	142592	----a-w-	c:\windows\system32\dllcache\aec.sys
2010-08-26 08:26 . 2008-04-13 17:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-08-26 08:26 . 2008-04-13 17:41	8576	----a-w-	c:\windows\system32\dllcache\i2omgmt.sys
2010-08-26 08:25 . 2008-04-13 17:40	8192	----a-w-	c:\windows\system32\drivers\Changer.sys
2010-08-26 08:25 . 2008-04-13 17:40	8192	----a-w-	c:\windows\system32\dllcache\changer.sys
2010-08-21 20:02 . 2010-08-21 20:02	503808	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-17348c3b-n\msvcp71.dll
2010-08-21 20:02 . 2010-08-21 20:02	499712	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-17348c3b-n\jmc.dll
2010-08-21 20:02 . 2010-08-21 20:02	348160	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-17348c3b-n\msvcr71.dll
2010-08-21 20:01 . 2010-08-21 20:01	61440	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-152003d8-n\decora-sse.dll
2010-08-21 20:01 . 2010-08-21 20:01	12800	----a-w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-152003d8-n\decora-d3d.dll
2010-08-12 09:45 . 2010-08-12 09:45	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2010-08-12 09:38 . 2008-10-22 22:00	111928	------w-	c:\windows\system32\BRRBTOOL.EXE
2010-08-12 09:38 . 2007-01-15 22:00	24223	------w-	c:\windows\system32\brlm03a.dll
2010-08-12 09:38 . 2004-08-09 22:42	77824	------w-	c:\windows\system32\brlmw03a.dll
2010-08-12 09:38 . 2010-08-12 09:38	--------	d-----w-	c:\programme\Brownie
2010-08-12 09:38 . 2006-12-21 09:23	176128	------w-	c:\windows\system32\BROSNMP.DLL
2010-08-12 09:37 . 2010-08-12 09:38	54	----a-w-	c:\windows\system32\bd2030.dat
2010-08-12 09:37 . 2010-08-12 09:38	--------	d-----w-	c:\programme\Brother
2010-08-12 09:37 . 2008-04-02 07:39	192512	------w-	c:\windows\system32\Pdrvinst.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-01 21:19 . 2006-06-10 16:35	--------	d-----w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\OpenOffice.org2
2010-08-27 13:36 . 2010-04-02 15:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-15 17:40 . 2010-04-17 05:41	--------	d-----w-	c:\programme\Opera
2010-08-12 09:37 . 2006-02-26 23:08	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-07-19 18:28 . 2004-08-07 05:27	63580	----a-w-	c:\windows\system32\perfc007.dat
2010-07-19 18:28 . 2004-08-07 05:27	391000	----a-w-	c:\windows\system32\perfh007.dat
2010-07-10 13:36 . 2010-07-10 13:36	--------	d-----w-	c:\dokumente und einstellungen\sunshine\Anwendungsdaten\MAGIX
2010-06-30 12:28 . 2004-08-04 08:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:15 . 2004-08-04 08:00	832512	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 12:15 . 2004-08-04 08:00	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-06-24 12:15 . 2004-08-04 08:00	17408	----a-w-	c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2004-08-04 08:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 08:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-04 08:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2004-08-04 08:00	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:41 . 2004-08-04 08:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2006-05-03 09:06 . 2009-12-13 10:28	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-12-13 10:28	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-12-13 10:28	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windows\system32\dllcache\aec.sys ---
Company: Microsoft Corporation
File Description: Microsoft Acoustic Echo Canceller
File Version: 5.1.2601.3142
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: aec.sys
File size: 142592
Created time: 2010-08-26 11:12
Modified time: 2008-04-13 15:39
MD5: 8BED39E3C35D6A489438B8141717A557
SHA1: 7CCD9DDA4ED4C776CD1A1BE021A13DBC4B277C7E


--- c:\windows\system32\drivers\aec.sys ---
Company: Microsoft Corporation
File Description: Microsoft Acoustic Echo Canceller
File Version: 5.1.2601.3142
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: aec.sys
File size: 142592
Created time: 2010-08-26 11:12
Modified time: 2008-04-13 15:39
MD5: 8BED39E3C35D6A489438B8141717A557
SHA1: 7CCD9DDA4ED4C776CD1A1BE021A13DBC4B277C7E


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-18 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2005-11-08 61952]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-11 761945]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"QPService"="c:\programme\HP\QuickPlay\QPService.exe" [2005-12-12 94208]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-07 409600]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2005-06-29 233534]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-02-15 417792]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\sunshine\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-1-25 61440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Photosmart Premier - Schnellstart.lnk - c:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Opera\\opera.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 18:49 108289]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 17:16 135664]
.
Inhalt des "geplante Tasks" Ordners

2010-08-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-09-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 15:16]

2010-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 15:16]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.freenet.de/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-01 23:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe??????????????0?n??|?`???? ???B?????????????hLC???????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wscntfy.exe
c:\programme\OpenOffice.org 2.0\program\soffice.exe
c:\programme\OpenOffice.org 2.0\program\soffice.BIN
c:\progra~1\HPQ\SHARED\HPQTOA~1.EXE
c:\programme\HP\Digital Imaging\bin\hpqimzone.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-01  23:22:41 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-09-01 21:22
ComboFix2.txt  2010-08-31 18:01

Vor Suchlauf: 16 Verzeichnis(se), 58.116.988.928 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 58.050.400.256 Bytes frei

- - End Of File - - E59DF1EF8AD2F545EE76122EC06D215F
         
--- --- ---

Alt 02.09.2010, 10:13   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.
Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.09.2010, 15:17   #11
eichmeister
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Hallo Arne,

GMER hat mich, wie schon erwähnt geärgert, habs dreimal versucht, schaltet sich immer wieder aus.

Hier der Logfile von OSAM, und anschließend das Ergebnis von Bootkit Remover

OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:04:06 on 03.09.2010

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17080

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe
"GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"WACntlPnl.cpl" - "Hewlett-Packard Development Company, L.P." - C:\WINDOWS\system32\WACntlPnl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"eabconfg.cpl" - "Hewlett-Packard" - C:\Programme\HPQ\Quick Launch Buttons\EABCONFG.CPL
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
"WIDCOMM USB Bluetooth Driver" (BTWUSB) - "Broadcom Corporation." - C:\WINDOWS\System32\Drivers\btwusb.sys

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{7F67036B-66F1-411A-AD85-759FB9C5B0DB} "ShellViewRTF" - "XSS" - C:\WINDOWS\system32\ShellvRTF.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
<binary data> "{C4069E3A-68F1-403E-B40E-20066696354B}" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "QuickTime Object" - "Apple Inc." - C:\Programme\QuickTime\QTPlugin.ocx / hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -   (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"HP Photosmart Premier – Schnellstart.lnk" - "Hewlett-Packard Development Company, L.P." - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\sunshine\Startmenü\Programme\Autostart\desktop.ini
"OpenOffice.org 2.0.lnk" - ? - C:\Programme\OpenOffice.org 2.0\program\quickstart.exe  (Shortcut exists | File found, but it contains no detailed information | File exists)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Cpqset" - ? - C:\Programme\HPQ\Default Settings\cpqset.exe  (File found, but it contains no detailed information)
"eabconfg.cpl" - "Hewlett-Packard " - C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
"HP Software Update" - "Hewlett-Packard Co." - C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
"hpWirelessAssistant" - "Hewlett-Packard Development Company, L.P." - C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
"QPService" - "CyberLink Corp." - "C:\Programme\HP\QuickPlay\QPService.exe"
"QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime
"RecGuard" - ? - C:\Windows\SMINST\RecGuard.exe
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Statusdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe
"hpqwmiex" (hpqwmiex) - "Hewlett-Packard Development Company, L.P." - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

------------------------------------------------

Bootkit Remover

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: d3c3d1a705af3d0bec0fc46073d431f4

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Danke für Deine Geduld !

Gruß Stefan

Alt 03.09.2010, 17:14   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.09.2010, 19:52   #13
eichmeister
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Inhalt MBR Check

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000001c

Kernel Drivers (total 127):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E5000 \WINDOWS\system32\hal.dll
0xF7ABE000 \WINDOWS\system32\KDCOM.DLL
0xF79CE000 \WINDOWS\system32\BOOTVID.dll
0xF748E000 ACPI.sys
0xF7AC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF747D000 pci.sys
0xF75BE000 isapnp.sys
0xF75CE000 ohci1394.sys
0xF75DE000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF79D2000 compbatt.sys
0xF79D6000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7B86000 pciide.sys
0xF783E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7AC2000 intelide.sys
0xF7AC4000 viaide.sys
0xF7AC6000 aliide.sys
0xF745F000 pcmcia.sys
0xF75EE000 MountMgr.sys
0xF7440000 ftdisk.sys
0xF79DA000 ACPIEC.sys
0xF7B87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF7846000 PartMgr.sys
0xF75FE000 VolSnap.sys
0xF7428000 atapi.sys
0xF7352000 iaStor.sys
0xF760E000 disk.sys
0xF761E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7332000 fltmgr.sys
0xF7320000 sr.sys
0xF784E000 PxHelp20.sys
0xF7309000 KSecDD.sys
0xF727C000 Ntfs.sys
0xF724F000 NDIS.sys
0xF762E000 serial.sys
0xF7235000 Mup.sys
0xF77BE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF71EC000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xB9ADE000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xB9ACA000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB9AA2000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB9945000 \SystemRoot\system32\DRIVERS\w39n51.sys
0xF78D6000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9921000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78DE000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB98F9000 \SystemRoot\system32\drivers\tifm21.sys
0xB98E5000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB98BE000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF71E8000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF77DE000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78E6000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB988F000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF7AF2000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF78EE000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF77EE000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF77FE000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF780E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB986C000 \SystemRoot\system32\DRIVERS\ks.sys
0xF7C33000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF781E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF71E0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9855000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF782E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF764E000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF78FE000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xB9844000 \SystemRoot\system32\DRIVERS\psched.sys
0xF765E000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7906000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF790E000 \SystemRoot\system32\DRIVERS\raspti.sys
0xB9CB9000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7AFA000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB97E6000 \SystemRoot\system32\DRIVERS\update.sys
0xBA1C3000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF766E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x9F6A1000 \SystemRoot\system32\drivers\CHDAud.sys
0x9F67D000 \SystemRoot\system32\drivers\portcls.sys
0x9FBC4000 \SystemRoot\system32\drivers\drmk.sys
0x9F64B000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0x9F54E000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0x9F49E000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xA00CC000 \SystemRoot\System32\Drivers\Modem.SYS
0x9FB74000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xA05CB000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7AEC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xA0602000 \SystemRoot\System32\Drivers\Null.SYS
0xF7AEE000 \SystemRoot\System32\Drivers\Beep.SYS
0xA00AC000 \SystemRoot\System32\drivers\vga.sys
0xF7AF0000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7AF4000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xA00A4000 \SystemRoot\System32\Drivers\Msfs.SYS
0xA009C000 \SystemRoot\System32\Drivers\Npfs.SYS
0xA05C7000 \SystemRoot\system32\DRIVERS\rasacd.sys
0x9F41B000 \SystemRoot\system32\DRIVERS\ipsec.sys
0x9F3C2000 \SystemRoot\system32\DRIVERS\tcpip.sys
0x9F39A000 \SystemRoot\system32\DRIVERS\netbt.sys
0x9F378000 \SystemRoot\System32\drivers\afd.sys
0x9F97E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xA0094000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x9F34D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x9F2DD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x9F96E000 \SystemRoot\System32\Drivers\Fips.SYS
0x9F2B7000 \SystemRoot\system32\DRIVERS\ipnat.sys
0x9F95E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7AF6000 \??\C:\WINDOWS\system32\drivers\EABFiltr.sys
0x9F29B000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x9AFEA000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
0x98C69000 \SystemRoot\System32\Drivers\Fastfat.SYS
0x98B93000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0xBF800000 \SystemRoot\System32\win32k.sys
0x98CFE000 \SystemRoot\System32\drivers\Dxapi.sys
0x994E9000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7BDD000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF020000 \SystemRoot\System32\ialmdnt5.dll
0xBF012000 \SystemRoot\System32\ialmrnt5.dll
0xBF042000 \SystemRoot\System32\ialmdev5.DLL
0xBF077000 \SystemRoot\System32\ialmdd5.DLL
0x98B7F000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0xA2FD5000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x98B02000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0x98A4D000 \SystemRoot\system32\drivers\wdmaud.sys
0xB9C59000 \SystemRoot\system32\drivers\sysaudio.sys
0x989F6000 \SystemRoot\system32\DRIVERS\srv.sys
0xA2FC9000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0x9F91E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0x98507000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 43):
0 System Idle Process
4 System
724 C:\WINDOWS\system32\smss.exe
800 csrss.exe
1004 C:\WINDOWS\system32\winlogon.exe
1048 C:\WINDOWS\system32\services.exe
1060 C:\WINDOWS\system32\lsass.exe
1228 C:\WINDOWS\system32\svchost.exe
1296 svchost.exe
1336 C:\WINDOWS\system32\svchost.exe
1400 svchost.exe
1576 svchost.exe
1712 C:\WINDOWS\explorer.exe
1976 C:\WINDOWS\system32\spoolsv.exe
2024 C:\Programme\Avira\AntiVir Desktop\sched.exe
168 svchost.exe
240 C:\Programme\Avira\AntiVir Desktop\avguard.exe
316 C:\Programme\Java\jre6\bin\jqs.exe
384 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
600 C:\WINDOWS\system32\svchost.exe
260 wdfmgr.exe
956 C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
964 C:\WINDOWS\system32\igfxtray.exe
968 C:\WINDOWS\system32\hkcmd.exe
1108 C:\WINDOWS\system32\igfxpers.exe
1260 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
1364 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1416 C:\Programme\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
1448 C:\Programme\HP\QuickPlay\QPService.exe
1460 C:\Programme\HPQ\Quick Launch Buttons\eabservr.exe
1740 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
1872 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
2016 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2108 wmiprvse.exe
2280 C:\Programme\OpenOffice.org 2.0\program\soffice.exe
2288 C:\Programme\OpenOffice.org 2.0\program\soffice.bin
2360 C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
2672 C:\Programme\HPQ\Shared\HpqToaster.exe
2744 C:\WINDOWS\system32\wscntfy.exe
2928 alg.exe
3380 C:\Programme\Opera\opera.exe
2352 C:\WINDOWS\system32\svchost.exe
1688 C:\Dokumente und Einstellungen\sunshine\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000015`9d212c00 (FAT32)

PhysicalDrive0 Model Number: HTS541010G9SA00, Rev: MBZOC60P

Size Device Name MBR Status
--------------------------------------------
93 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: D0919EC9044E217466E4B6B4F0D4E99E29BDE3F9


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Gruß Stefan

Alt 03.09.2010, 19:56   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



Starte den Rechner neu und geh im Bootmenü auf die Wiederherstellungskonsole. Sieht ein wenig nach DOS aus, ist es aber nicht. Führe dort die befehle aus (eintippen und mit ok bestätigen, Abfrage (Warnung) mit j bestätigen)

Code:
ATTFilter
fixboot
fixmbr
         
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.09.2010, 21:11   #15
eichmeister
 
RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Standard

RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha



War nicht leicht zu finden, aber geschafft. Befehle eingegeben und bestätigt.

Gruß Stefan

Antwort

Themen zu RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha
0x00000001, antivir, avgntflt.sys, avira, bho, components, desktop, druck, einstellungen, error, explorer, flash player, format, google, helper, hijack, hijackthis, home, homepage, iastor.sys, iexplore.exe, internet browser, jusched.exe, kis, launch, location, object, oldtimer, opera, opera.exe, optimierung, otl.exe, plug-in, registry, rkit/agent.biiu, rundll, saver, security, server, shell32.dll, shortcut, software, super, viren, windows internet, windows internet explorer




Ähnliche Themen: RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha


  1. Avira findet 'TR/Crypt.ZPACK.Gen' und 'TR/Agent.53248.57'
    Log-Analyse und Auswertung - 23.10.2012 (9)
  2. TR/Agent.AOXU und RKIT/Agent.depg.1
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (3)
  3. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  4. RKIT/Agent.AW
    Plagegeister aller Art und deren Bekämpfung - 06.01.2011 (1)
  5. Befall TR/Crypt.ZPACK.Gen sowie Agent.AO.205 und Agent.AO.223
    Log-Analyse und Auswertung - 26.12.2010 (6)
  6. TR/Crypt.ZPACK.Gen und TR/Agent.450561.B
    Plagegeister aller Art und deren Bekämpfung - 17.12.2010 (25)
  7. RKIT/Bubnix und TR/CRYPT.ZPACK -- Brauche dringend Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 14.10.2010 (2)
  8. RKIT/Agent.biiu befall
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (11)
  9. rkit/Agent.biiu root kit
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (28)
  10. RKIT/Agent.biiu - Noch ein betroffener
    Plagegeister aller Art und deren Bekämpfung - 30.09.2010 (46)
  11. RKIT/Agent.biiu entfernt oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (1)
  12. Und nochjemand mit Rootkit RKIT/Agent.biiu :(
    Plagegeister aller Art und deren Bekämpfung - 20.09.2010 (33)
  13. Avira meldet RKIT/Agent.biiu befall!
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (27)
  14. TR/Crypt.ZPACK.gen und TR/Dldr.Agent.dnrt gehen nicht zu löschen
    Log-Analyse und Auswertung - 05.06.2010 (14)
  15. 'TR/Agent.155648.BU' und 'TR/Crypt.ZPACK.Gen' von AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 15.05.2010 (3)
  16. TR/Crypt.ZPACK.Gen / TR AGENT variante /eventuell Rootkit laut GMER
    Plagegeister aller Art und deren Bekämpfung - 19.07.2009 (3)
  17. TR/RKit.Agent.Q
    Plagegeister aller Art und deren Bekämpfung - 14.07.2005 (9)

Zum Thema RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha - Hallo zusammen, ich bräuchte bitte eure Hilfe. Habe mir gestern die drei Viren RKIT/agent.biiu, TR/agent.ruo und TR/Crypt.Gen eingefangen. In meiner ersten Panik habe ich mein Antimaleware (nicht aktualisiert ) und - RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha...
Archiv
Du betrachtest: RKIT/agent.biiu, TR/agent.ruo, TR/Crypt.ZPACK.Gen alle guten Dinge sind drei hahahaha auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.